Milyen fontos hibákra kell figyelni fejlesztéskor?

yasp87 · 2010. Jún. 7. (H), 20.40

Sziasztok!

Elsősorban tapasztalt programozókat szeretném megkérdezni (de nem csak!), hogy php-ben fejlesztéskor milyen hibákra kell nagyon figyelni, ami biztonság szempontjából veszélyes lehet? Input adatok szűrésére használt függvényekkel tisztában vagyok, de például olvastam már a bizonyos globális változókról, ami valamiért problémát jelent, de elvileg a php5-ben már megoldották ezt. Ezzel már nem kell foglalkozni?

Milyen kevésbé ismert buktatók lehetnek még? Linket is írhattok.

■

csirip

Sok minden

janoszen · 2010. Jún. 7. (H), 22.22

Ha security szempontból kérdezed:

SQL injection: magic_quotes off, helyette mysql_real_escape_string
XSS: HTML inputot vágd ki, cseréld le a speciális karaktereket.
CSRF: Legyen egy per-session egyedi azonosító amit minden űrlapban és AJAX kérésben elküldesz és ellenörzöl is.
Privilege elevation, URL manipulation (bypass)
Ne lehessen a megfelelő URL-t beírva hozzáférni az alkalmazásod kényes részeihez (tedd a webrooton kívül)
Ha kriptográfiával (jelszó hasheléssel) foglalkozol, ne próbálj meg mindenféle trükkös hashelést kitalálni mert csak rontod az értékkészletet, helyette használj jól bevált hash+salt műveleteket.
Erősítsd a felhasználókban azt a tudatod hogy nem küldesz nekik anoním levelet, ne vegyék be a phishing leveleket.

Hasznos jótanács: Nézd meg az ErrorExceptiont. Minden hibát (notice-t is) alakíts át Eceptionné. NAGYON gyorsan le fogsz szokni a notice-ok benne hagyásáról. Ez általában jótékony hatással van a PHP kód biztonságára is.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

+1: szerver oldalon _mindig_

deejayy · 2010. Jún. 8. (K), 07.25

+1: szerver oldalon _mindig_ csinálj inputellenőrzést, nem elég a kliens oldali javascriptben.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Épp a porondon van egy cikk

Török Gábor · 2010. Jún. 8. (K), 09.31

Épp a porondon van egy cikk ebben a témában.

Milyen bugokba, problémákba lehet belefutni egy online játék készítése során? Bár a konkrét téma valószínűleg nem érint tömegeket, azért vannak olyan tanulságok, amiket minden fejlesztő levonhat és hasznosíthat magának. A tapasztalatok a Zandagort nevű PHP–MySQL–AJAX-ban írt, böngésző alapú MMO stratégiai játék fejlesztéséből származnak.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Globális változók

Joó Ádám · 2010. Jún. 8. (K), 13.04

A register_globals-ra gondolsz.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

április 2024
H	K	Sze	Cs	P	Szo	V
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	1	2	3	4	5

április 2024

Sze

Szo

Weblabor

Keresés